摘要：IPv6協(xié)議作為下一代互聯(lián)網(wǎng)的網(wǎng)絡層協(xié)議，具有諸多新特性與功能，而域名系統(tǒng)（DNS）作為重要的互聯(lián)網(wǎng)基礎架構，需要全面支持IPv6新特性。從域名系統(tǒng)的資源記錄及協(xié)議擴展、IPv4到IPv6的過渡、域名解析各環(huán)節(jié)對IPv6的準備、IPv6為域名系統(tǒng)帶來的新機遇等幾方面對IPv6環(huán)境下域名系統(tǒng)的域名服務進行了分析和研究。

關鍵詞： 域名系統(tǒng)；IPv6協(xié)議；遞歸解析服務器；權威解析服務器

Abstract： IPv6 is the next-generation network layer protocol and has many new features and functions. The domain name system is an important part of the Internet infrastructure and must fully support the new features of IPv6. In this paper， we analyze DNS resource record and protocol extension， transition from IPv4 to IPv6， the preparation of DNS for IPv6， and opportunities that IPv6 brings to DNS.

Key words： domain name system； IPv6 protocol； recursive DNS server； authoritative DNS server

域名系統(tǒng)（DNS）的主要功能是通過域名和IP地址之間的相互對應關系，來精確定位網(wǎng)絡資源，即根據(jù)域名查詢IP地址，反之亦然。DNS作為重要的互聯(lián)網(wǎng)基礎資源[1]，鏈接底層物理設施和上層業(yè)務應用，由于任何通信鏈接都需要依賴IP地址和域名完成標識、定位和路由，包括超文本傳輸協(xié)議（HTTP），電子郵件等眾多上層應用都是建立在DNS體系基礎之上的。

IPv6是互聯(lián)網(wǎng)工程任務組（IETF）設計的用于替代現(xiàn)行版本IP協(xié)議（IPv4）的下一代網(wǎng)絡層協(xié)議。與IPv4相比，IPv6具備多項優(yōu)勢。首先，它具備更大的地址空間[2]；其次，IPv6的地址結構和地址分配采用嚴格的層次結構；再次，IPv6協(xié)議增加了增強的組播支持和對流的控制，更支持多媒體應用；另外，IPv6協(xié)議具備更高的安全性，用戶可以對網(wǎng)絡層數(shù)據(jù)進行加密和校驗；最后，IPv6是一個可擴充協(xié)議。

同為互聯(lián)網(wǎng)基礎資源，DNS對IPv4支持已經(jīng)經(jīng)過了長期實踐的檢驗，那么在IPv6取代IPv4成為主流IP協(xié)議的過程中，在DNS支持方面存在如下的問題：

（1）IPv6的新特性和DNS的支持密不可分，那DNS是否已經(jīng)具備了全面支持IPv6的能力？

（2）在IPv6漫長的過渡期內(nèi)，IPv4和IPv6必將共存，這對DNS技術會造成什么樣的影響？

（3）域名解析各環(huán)節(jié)（權威解析服務機構、遞歸解析服務機構、客戶端）是否已經(jīng)做好了IPv6和DNS技術升級的準備？

（4）IPv6會為DNS技術帶來什么新機遇？

本文針對上述問題對IPv6時代的DNS技術進行了分析研究，并得出結論。

1 DNS對IPv6的擴展

1.1 資源記錄

針對IPv6協(xié)議的新特性，域名系統(tǒng)的資源記錄在IPv4基礎上進行了擴展，為互聯(lián)網(wǎng)全面支持IPv6協(xié)議打下了基礎。域名解析可分為正向解析和反向解析兩類，下面對它們進行分別討論。

1.1.1 正向IPv6域名解析

IPv6域名相對于IPv4，將正向解析記錄擴展為“AAAA”，作為IPv4至IPv6地址的過渡手段；同時增加了“A6”類型資源記錄，該記錄可完全支持IPv6協(xié)議特性。

“AAAA”記錄被用來解析完全限定域名到IPv6地址，它是128位的IPv6地址，相較于IPv4地址擴大了4倍，但由于此類型資源記錄是將IPv4“A”記錄的簡單擴展，因此不能完成對IPv6的層次性等特性的支持。

“A6”記錄格式是在RFC2874基礎上提出的，它由前綴長度、IPv6地址和域名前綴組成?！癆6”記錄是把一個IPv6地址與多個“A6”記錄建立聯(lián)系，每個“A6”記錄都只包含了IPv6地址的一部分，結合后拼裝成一個完整的IPv6地址。

與“AAAA”記錄相比，“A6”記錄支持更多IPv6的新特性，如地址匯聚、地址更改等。它的特性包括：“A6”記錄允許一個IPv6地址分散于多個記錄中，或允許在不同的區(qū)域；域名系統(tǒng)記錄即委派地址被“DNAME”記錄所取代。

1.1.2 反向IPv6域名解析

與IPv6的兩種正向域名解析對應，反向IPv6域名解析可由兩種形式表示：

（1）與“AAAA”記錄對應的是“IP6.INT”形式的反向IPv6域名解析記錄，它以“.”分隔，以半字節(jié)16進制數(shù)字格式來表示，低位地址在前，高位地址在后。

（2）與“A6”記錄對應的是“IP6.ARPA”形式的反向IPv6域名解析記錄，它以“[”開頭，16進制地址居中，地址后添加“]”，是一種二進制的串格式。

但是，由于一次完整的地址解析需要按照地址的分配層次關系到不同的域名系統(tǒng)服務器進行查詢，并且所有的查詢都成功才能得到完整的解析結果，與原有IPv4協(xié)議下的域名系統(tǒng)解析相比，無疑會延長解析時間，增加出錯幾率。因此，IPv6協(xié)議在技術方面需進一步改進DNS地址鏈功能，找尋提高IPv6域名解析速度的辦法[3]。

1.2 協(xié)議擴展

由于IPv6協(xié)議的新特性，其IP地址長度由32位擴展至128位，擴大了4倍[4-5]，導致DNS的查詢包的大小增長明顯，所以域名服務協(xié)議為解決此問題進行了協(xié)議擴展。目前已經(jīng)制訂的國際標準有：

（1）DNS Extensions to Support IP Version 6 （RFC3596）[6]。

（2）DNS64： DNS Extensions for Network Address Translation from IPv6 Clients to IPv4 Servers （RFC6147）[7]。

（3）Common Misbehavior Against DNS Queries for IPv6 Addresses （RFC4074）[8]。

正在制訂的國際標準有：

（1）IPv6 AAAA DNS Whitelisting Implications （draft-ietf-v6ops-v6-aaaa- whitelisting-implications-03）。

（2）EDNS0 Option for Indicating AAAA Record Synthesis and Format （draft-korhonen-edns0-synthesis-flag-02）[9]。

（3）Some Considerations on the Load-Balancer for NAT64 draft-wang-behave-nat64-load-balancer-0。

1.2.1 DNS擴展機制

RFC1035指出，對于DNS服務器，遞歸解析時采用用戶數(shù)據(jù)報協(xié)議（UDP）。由于IPv4協(xié)議中，UDP協(xié)議傳輸?shù)臄?shù)據(jù)包如果超過512字節(jié)，將被截斷并分片傳輸，此時DNS協(xié)議中Flags字段Truncated位被置位。即當DNS響應數(shù)據(jù)大于512字節(jié)的時候，數(shù)據(jù)只返回512字節(jié)，剩余的數(shù)據(jù)將被丟棄。此時遞歸解析服務器通常會使用傳輸控制協(xié)議（TCP）重發(fā)原來的查詢請求，允許返回的響應超過512個字節(jié)。在這種情況下，會對用戶體驗造成影響。

DNS擴展機制（EDNS0）允許遞歸解析服務器公布其支持UDP數(shù)據(jù)包的最大分片，更便于傳輸大于512字節(jié)的數(shù)據(jù)包。

權威解析服務器接收到DNS查詢請求時，它對來自查詢請求中的可選擴展資源記錄（OPT RR）字段中的數(shù)據(jù)報協(xié)議的分片大小進行標識，以根據(jù)遞歸服務器指定的最大數(shù)據(jù)報協(xié)議的數(shù)據(jù)包大小發(fā)送回復。

（1）EDNS0查詢

遞歸解析服務器發(fā)送查詢請求之前，它檢查其高速緩存，確定目標權威解析服務器是否支持EDNS0。如果該權威DNS服務器支持EDNS0，遞歸解析服務器會將OPT RR附加到它發(fā)送的查詢的附加部分。若反之，遞歸解析服務器將不會發(fā)送OPT資源記錄。OPT RR記錄內(nèi)容只與UDP傳輸層消息關聯(lián)，其將遞歸解析服務器的數(shù)據(jù)報協(xié)議的分片大小存儲在其字段中，列出遞歸解析服務器可在其網(wǎng)絡中傳輸?shù)淖畲髷?shù)據(jù)報協(xié)議的分片字節(jié)數(shù)。

（2）EDNS0響應

DNS權威解析服務器接收包含公布最大數(shù)據(jù)報協(xié)議的分片包大小的OPT RR的查詢時，它將基于此OPT記錄指定的限制來數(shù)據(jù)報協(xié)議的響應包的大小。如果DNS權威解析服務器接收到不包含OPT RR的查詢，它會假定遞歸解析服務器不支持EDNS0。在這種情況下，DNS權威解析服務器將其數(shù)據(jù)報協(xié)議的響應包限制為最大512字節(jié)。

1.2.2 域名系統(tǒng)安全擴展

DNSSEC作為DNS的安全擴展，其協(xié)議標準和技術實現(xiàn)也已經(jīng)成熟，并且兼顧了DNSSEC和DNS服務的兼容性。因此，從理論上講，DNSSEC服務同樣支持IPv6的資源表示和解析方式，并且能在IPv6網(wǎng)絡上穩(wěn)定可靠地運行。就像在IPv4網(wǎng)絡和IPv6網(wǎng)絡中DNS應保持統(tǒng)一體系，在IPv6環(huán)境下DNSSEC也應同時遵循這一建議。IPv6環(huán)境下，DNSSEC在密鑰分發(fā)流程、數(shù)據(jù)完整性和原始性認證機制上與IPv4網(wǎng)絡中的DNSSEC并無多大差異，區(qū)別僅僅是在于返回資源的記錄類型由A記錄擴展至“AAAA”記錄[10]。

目前，DNSSEC在部署過程中面臨著密鑰管理軟件功能需更加完善等問題，而IPv6環(huán)境下DNSSEC的部署還面臨著IPv4向IPv6網(wǎng)絡過渡中由協(xié)議轉換所帶來的加密算法、資源記錄報文、相關標準等問題。當然，由于IPv6網(wǎng)絡本身從技術標準、軟硬件、基礎設施等方面，都是一個在運行中不斷完善的過程，因此也需要對其在實際應用和運行過程中發(fā)現(xiàn)、跟蹤、調(diào)整和改進。而DNSSEC在密鑰管理、業(yè)務銜接方面還需積累實施部署和運行的經(jīng)驗。因此在IPv6環(huán)境下，DNSSEC的部署也將會是一個從小范圍試點到大范圍推廣的逐步推進過程。

2 過渡技術

在未來很長一段時間內(nèi)，IPv6將與IPv4網(wǎng)絡共存。由于IPv6協(xié)議的新特性，在DNS實現(xiàn)細節(jié)中將與IPv4網(wǎng)絡有所區(qū)別（如資源記錄），在由IPv4向IPv6過渡的過程中，兩類網(wǎng)絡間的DNS互通同樣需要過渡技術來實現(xiàn)[11]。

2.1 DNS64

DNS64（DNS6-4）技術是實現(xiàn)IPv6網(wǎng)絡與IPv4網(wǎng)絡互訪的技術手段之一。其主要思想是在DNS解析過程中將DNS查詢信息中的A記錄（IPv4地址）合成到“AAAA”記錄（IPv6地址）中，并返回合成的“AAAA”記錄至IPv6側用戶。

它的具體實現(xiàn)是：當DNS64接收到來自IPv6客戶端的“AAAA”記錄DNS查詢后，它首先嘗試查找該“AAAA”記錄的解析結果。如果沒有目標節(jié)點的可用“AAAA”記錄，DNS64執(zhí)行一個A記錄的查詢。對返回的每個A記錄，DNS64合成一個“AAAA”記錄。合成“AAAA”記錄的對應域名與原始A記錄的相同，但是原始A記錄中的IPv4地址被替換為一個IPv6地址。這個IPv6地址由IPv4地址與DNS64的附加參數(shù)經(jīng)過計算得到。合成的“AAAA”記錄會返回給IPv6客戶端，客戶端將會使用IPv4接收端的IPv6地址建立一個IPv6通信。這個報文會經(jīng)通過路由上的某臺IPv6/IPv4轉換設備送往IPv4網(wǎng)絡。

DNS64功能可以在域名系統(tǒng)體系中的如下3個位置中的任意位置部署實現(xiàn)：某個權威域的權威解析服務器；遞歸解析服務器；客戶端主機，與本地解析器結合。這3種部署各有優(yōu)缺點，具體如何實現(xiàn)需根據(jù)實踐結果調(diào)整。

2.2 雙棧技術結合快速回退算法

支持雙協(xié)議棧的IPv6節(jié)點間互通時使用IPv6協(xié)議棧，IPv4節(jié)點間互通時使用IPv4協(xié)議棧。當IPv6節(jié)點訪問IPv4節(jié)點時，該IPv6節(jié)點將申請臨時IPv4地址并得到網(wǎng)管路由器的隧道終端（TEP）IPv6地址。此時，IPv6節(jié)點將原始IP數(shù)據(jù)庫包封裝成一個4over6的IP數(shù)據(jù)包（包頭為IPv6報文頭，目的地址為TEP地址，內(nèi)容為IPv4包），4over6包經(jīng)過IPv6網(wǎng)傳到網(wǎng)關路由器，網(wǎng)關路由器將其IPv6頭去掉，將IPv4包通過IPv4網(wǎng)絡送往IPv4節(jié)點。

網(wǎng)關路由器需要將IPv6地址與IPv4臨時地址對應關系進行存儲，用于上述過程反向通信。

IPv4向IPv6過渡時期，域名系統(tǒng)所采用的雙棧技術是在IPv6與IPv4網(wǎng)絡雙棧技術基礎上，在域名系統(tǒng)中同時存儲A記錄及“AAAA”記錄，由于節(jié)點既可以處理IPv4協(xié)議，也可以處理IPv6協(xié)議，無論域名系統(tǒng)服務器回答“A”記錄還是“AAAA”記錄，都可以進行通信。雙棧技術無疑增加了域名系統(tǒng)服務器緩存的記錄數(shù)量，并要即時進行地址轉換及映射工作，由此，域名系統(tǒng)服務器的負擔將大大增加。

雙棧技術的使用帶來了其他問題，當終端同時獲得AAAA和A記錄時，會優(yōu)先嘗試AAAA記錄，如果訪問AAAA記錄出現(xiàn)超時，才會使用A記錄，在AAAA記錄有問題的情況下會導致用戶體驗受損?？焖倩赝怂惴ǎ℉appy Eyeball）的出現(xiàn)彌補了這一缺陷，該算法要求終端同時嘗試AAAA記錄和A記錄，然后使用最先返回的結果，此舉可以顯著增強用戶體驗。

2.3 DNS-ALG結合NAT-PT技術

NAT-PT是一種純IPv4應用和純IPv6應用之間的互通方式。通過NAT-PT，可以實現(xiàn)IPv4主機對IPv6主機的訪問，反向訪問也同樣可以實現(xiàn)。關于IP地址轉換以及協(xié)議轉換的工作都由加載在邊界網(wǎng)關路由器上的NAT-PT設備實現(xiàn)。翻譯網(wǎng)關要向IPv6域中發(fā)布一個路由前綴，凡是具有該前綴的IPv6包都被送往網(wǎng)關路由器。

網(wǎng)關路由器為了支持NAT-PT功能，需要建立IPv4地址池，預留一部分全球IPv4地址，IPv6向IPv4域中轉發(fā)報文時臨時分配給IPv6主機，并保存該IPv4與IPv6地址映射關系。但是，由于協(xié)議對地址格式的定義不同，直接通過地址訪問難以實現(xiàn)，只有通過域名才能實現(xiàn)訪問，所以網(wǎng)關路由器還需要DNS-ALG的支持，才能在IPv4網(wǎng)絡節(jié)點訪問IPv6網(wǎng)絡節(jié)點的過程中發(fā)揮作用。

DNS-ALG是在NAT-PT基礎上封裝的一個應用層網(wǎng)關，主要職責為將IPv4與IPv6網(wǎng)絡間域名查詢請求所返回資源記錄進行轉換，即A記錄與“AAAA”記錄的轉換工作。

3 域名解析各環(huán)節(jié)對IPv6

的準備

域名解析包括權威解析服務系統(tǒng)、遞歸解析服務系統(tǒng)和客戶端。權威解析服務系統(tǒng)又包括根服務器、頂級域名解析和二級及以下權威域名解析3個部分。各環(huán)節(jié)目前對IPv6的支持程度不一。

3.1 根服務器

全球13個根服務器中，目前還有3個根服務器未支持IPv6，分別為C根、E根、G根。而其他10個根均支持IPv6解析。

3.2 頂級域名

全球權威服務器里面有43%支持IPv6解析。中國國家頂級域.CN從2008年初開始提供IPv6解析，目前每天IPv6解析量大概在1 000萬～2 000萬次之間，約占總解析量的1%。

3.3 二級及以下權威域名

二級及以下權威域名服務系統(tǒng)的基礎建設普遍比較薄弱，運維能力也參差不齊。為了抽樣了解二級及以下權威域名服務系統(tǒng)對IPv6的支持，我們選擇在中國境內(nèi)使用最廣泛的“.CN”、“.COM”和“.NET”頂級域下的122 055 373個二級及以下域名作為檢測對象，所涉及的權威服務器數(shù)量3 628 091臺。結果表明，權威服務器的IPv6解析支持率僅為0.77%，這是權威解析系統(tǒng)中對IPv6支持最為薄弱之處。

3.4 遞歸服務器

遞歸服務器對于EDNS0的支持已經(jīng)非常廣泛，對于遞歸服務器而言，只要保證定期升級解析軟件，并增加冗余帶寬來應對IPv6查詢帶來的更大流量，即可保證對IPv6新特性的支持。

3.5 客戶端

目前，主流終端操作系統(tǒng)自身配備的解析器均可以支持IPv6解析，不過對于Happy Eyeball等過渡時期的新技術也需要通過開發(fā)升級來更好地進行支持。

4 DNS的新機遇

在DNS為IPv6提供支持的同時，IPv6同樣為DNS帶來了新的機會。

在20世紀80年代DNS協(xié)議設計初期，為保證域名系統(tǒng)在當時網(wǎng)絡條件下的服務可達性，設計者推薦使用面向非連接的UDP協(xié)議，并將報文長度限制在最小傳輸單元512字節(jié)內(nèi)，以確保報文在極端惡劣的網(wǎng)絡環(huán)境下也能盡量迅速準確地傳遞。而512字節(jié)的報文長度限制是目前僅有13個根服務器的原因。在IPv6環(huán)境下，UDP最小傳輸單位增加至1 280字節(jié)，報文空間的擴展使得DNS協(xié)議可以增加更多屬性，并使得根服務器的增加成為可能。

5 結束語

DNS已經(jīng)具備了全面支持IPv6的能力，雖然某些特性的支持程度需要繼續(xù)提高。在IPv6演進過程中，多項有關資源記錄、協(xié)議擴展、IPv6過渡方面的域名系統(tǒng)標準已經(jīng)或正在被制訂和應用，域名系統(tǒng)正在全面支持IPv6應用。另外，域名系統(tǒng)對于如何解決在IPv6情況下降低解析時間和出錯機會、如何更好的支持IPv6即插即用特性、如何解決DNS服務器的自動發(fā)現(xiàn)機制等方面會繼續(xù)努力和提高。

在IPv6漫長的過渡期內(nèi)，IPv4和IPv6兩類網(wǎng)絡間并存和互通所需要的過渡技術也已經(jīng)成形，正準備接受實踐的檢驗。DNS64技術可實現(xiàn)兩類網(wǎng)絡間的互訪，而雙棧技術和Happy Eyeball的結合解決了兩類網(wǎng)絡間并存的問題。

域名解析各環(huán)節(jié)正在進行IPv6和DNS升級的準備。就權威和遞歸解析服務環(huán)節(jié)而言，需要定期升級解析軟件以保證對IPv6新特性的更好支持，需要新增IPv6接入，并增加冗余帶寬來應對IPv6查詢帶來的更大流量；對客戶端而言，各種終端操作系統(tǒng)的解析器也需要通過開發(fā)升級來實現(xiàn)對新技術的支持。

在DNS為IPv6提供支持的同時，IPv6同樣為DNS帶來了新的機遇。在IPv6環(huán)境下，UDP最小傳輸單位增加至1 280字節(jié)，報文空間的擴展使得DNS協(xié)議可以增加更多屬性，并使得根服務器的增加成為可能。

隨著IPv6的應用日益穩(wěn)定增長，作為重要的互聯(lián)網(wǎng)基礎資源，域名系統(tǒng)將會與IPv6的新特性結合更加緊密，更好的適應互聯(lián)網(wǎng)發(fā)展，提升用戶體驗。

參考文獻

[1] 李丹， 吳建平， 崔勇， 等. 互聯(lián)網(wǎng)名字空間結構及其解析服務研究 [J]. 軟件學報， 2005，16（8）：1445-1455.

[2] 何寶宏. IPv6面臨的挑戰(zhàn)與機遇 [J]. 電信網(wǎng)技術， 201l（5）：35-38.

[3] 張鴻. 剖析IPv6時代的域名系統(tǒng) [N]. 計算機世界， 2002.

[4] CRAWFORD M. DNS extensions to support IPv6 address aggregation and renumbering [S]. RFC2874. 2000.

[5] BUSH R. Representing Internet protocol version 6 （IPv6） addresses in the domain name system （DNS） [S]. RFC3363. 2002.

[6] THOMSON S. DNS extensions to support IP version 6 [S]. RFC3596. 2003.

[7] BAGNULO M. DNS extensions for network address translation from IPv6 clients to IPv4 servers [S]. RFC6147. 2011.

[8] MORISHITA Y. Common misbehavior against DNS queries for IPv6 addresses [S]. RFC4074. 2005.

[9] VIXIE P. Extension mechanisms for DNS （EDNS0） [S]. RFC2671. 1999.

[10] GUDMUNDSSON O. DNSSEC and IPv6 A6 aware server/resolver message size requirements [S]. RFC3226. 2001.

[11] 張鴻， 錢華林. IPv6對域名系統(tǒng)的需求及其解決方法的研究 [J]. 微電子學與計算機， 2003（1）：35-38.